اختراق أمني كبير لمنصة “كراكن” وسرقة 3 مليون دولار
تعرضت منصة “كراكن”، وهي منصة رائدة لتداول العملات الرقمية، إلى خرق أمني كبير يتعلق ببرنامج مكافآت الثغرات الأمنية (Bug Bounty) الخاص بها. كشف نيك بيركوكو، رئيس قسم الأمن المعلوماتي في كراكن، عن تفاصيل الحادث، والذي أظهر قيام ما يُسمى بـ “باحثي الأمن” بأفعال احتيالية أدت إلى سحب ما يقارب 3 مليون دولار أميركي من خزائن الشركة.
في التاسع من يونيو 2024، تلقّت كراكن تنبيهًا من باحث أمنٍ يُزعم اكتشافه ثغرة أمنية “بالغة الأهمية”. يُفترض أن هذه الثغرة تسمح بتضخيم رصيد الحسابات على منصة كراكن بشكل مصطنع. ومع ذلك، لم يقدم التقرير الأولي معلومات تفصيلية حول المعاملات.
وأشار بيركوكو إلى أن الباحث قام بمشاركة الثغرة مع اثنين من زملائه، والذين قاموا بعد ذلك باستغلالها لإنشاء مبالغ مالية كبيرة. وتمكن هؤلاء الأفراد من سحب ما يقارب 3 مليون دولار أميركي من خزائن كراكن. ومن المهم التأكيد على أنه لم تتأثر أي أصول خاصة بالعملاء نتيجة لهذا الخرق.
استجابة كراكن
ردًا على الإفصاح الجزئي، قام فريق الأمن في كراكن بالاتصال بالباحثين لتأكيد التفاصيل والترتيب على المكافأة. إذ، يُعد هذا إجراءً قياسيًا ضمن برنامج مكافآت الثغرات الأمنية الخاص بكراكن، والذي يعمل منذ ما يقارب عشر سنوات ويضم نخبة من الخبراء في هذا المجال.
وفي هذا الصدد، طالبت كراكن بتقرير كامل عن الأنشطة، وإثبات للمفهوم، وإعادة الأموال التي تم سحبها. ومع ذلك، رفض الباحثون هذه الطلبات وطالبوا بمبلغ افتراضي مقابل عدم كشفهم عن الثغرة الأمنية بناءً على التأثير المحتمل لها لو لم يتم الإبلاغ عنها. ووصف بيركوكو هذا المطلب بأنه ابتزاز وليس قرصنة شرعية.
موقف كراكن والخطوات المستقبلية
أوضحت كراكن أن برنامج مكافآت الثغرات الأمنية الخاص بها مصمم لتعزيز الأمان ويعتمد على السلوك الأخلاقي من الباحثين. وفقًا لبيركوكو، فإن تصرفات هؤلاء الباحثين تنتهك قواعد البرنامج وتشكل سلوكًا إجراميًا. وتتعامل كراكن الآن مع هذه الحادثة على أنها قضية جنائية وتنسق مع وكالات إنفاذ القانون.
هذا وشدد بيركوكو على أن هذا الخرق هو حادث معزول وأن كراكن لا تزال ملتزمة ببرنامج مكافآت الثغرات الأمنية الخاص بها. وستواصل المنصة العمل مع الباحثين الأخلاقيين لتحسين أمن النظام البيئي للعملات الرقمية.
تعكس شفافية كراكن وسرعة تحركها في هذه القضية التزامها بحماية منصتها ومستخدميها، خاصة بالنظر إلى أن الأموال المسروقة كانت من خزانتها الخاصة وليست أموال العملاء. كما يسلط هذا الحادث الضوء على التحديات التي تواجه الحفاظ على الأمن في عالم العملات الرقمية المتطور بسرعة.
